Notfalluserkonzept
Sicherheit in Entwicklungssystemen
Die zu bevorzugende und auch umfassendere Variante einer programmatischen Berechtigungsprüfung ist jedoch die Verwendung des Funktionsbausteins AUTHORITY_CHECK_TCODE. Dieser Funktionsbaustein reagiert nicht nur beim Start des Programms auf eine fehlende Berechtigung, sondern kann auch vorgeben, dass nur die in der Transaktion SE97 gepflegten NO-CHECK-Prüfkennzeichen den externen Aufruf aus einem anderen Transaktionskontext heraus erlauben. Dies wird dabei vom Funktionsbaustein und nicht vom Entwickler bestimmt.
Customizing wird in den meisten Fällen über die Transaktion SPRO durchgeführt. Dies ist jedoch nur die Einstiegstransaktion für eine sehr umfassende Baumstruktur weiterer Pflegetransaktionen. Die meisten Customizing-Aktivitäten bestehen aber in der indirekten oder direkten Pflege von Tabellen. Daher kann eine stichprobenartige Überprüfung der Berechtigungsstruktur in diesem Umfeld auf Tabellenberechtigungen reduziert werden. Bei abgegrenzten Zuständigkeiten innerhalb des Customizings (z.B. FI, MM, SD etc.) ist hier also auf eine entsprechende Abgrenzung innerhalb der Tabellenberechtigungen zu achten. Unabhängig von vergebenen Transaktionsberechtigungen innerhalb des Customizings entspricht eine Vollberechtigung auf Tabellenebene kombiniert mit einer Tabellenpflegetransaktion wie etwa SM30 praktisch einer Vollberechtigung im Customizing. Normales Customizing der Fachbereiche bezieht sich im Allgemeinen auf mandantenabhängige Tabellen. Der Zugriff auf Systemtabellen sollte also möglichst auf die Basisadministration beschränkt werden.
Bei den Namenskonventionen für PFCG-Rollen von Best Practices profitieren
Im Rahmen der Lösung SAP Access Control dient die Komponente Business Role Management der zentralen Rollenverwaltung. Sie bietet neben weiteren nützlichen Funktionen die Automatisierung der Massenpflege von Rollenableitungen. Hierzu müssen Sie zunächst die Organisationsmatrix im Customizing (Transaktion SPRO) hinterlegen, d. h., dass Sie im Bereich Details der Organisationsebenenzuordnung für die unterschiedlichen Organisationsfelder die Werte oder Wertebereiche eintragen. Zu diesem Zeitpunkt spezifizieren Sie allerdings noch nicht, welche Referenzrollen für diese Organisationswerte abgeleitet werden sollen.
Sie haben Anwendungen selbst entwickelt und möchten Vorschlagswerte für diese pflegen? Das geht am einfachsten mithilfe des Berechtigungstrace. Auch bei selbst entwickelten Anwendungen werden Berechtigungsprüfungen durchgeführt. Diese Anwendungen müssen somit in die PFCG-Rollen aufgenommen werden. Werden sie in einem Rollenmenü gepflegt, wird Ihnen auffallen, dass neben den Startberechtigungen (wie z. B. S_TCODE) keine weiteren Berechtigungsobjekte in die PFCG-Rolle übernommen werden. Der Grund dafür ist, dass auch für kundeneigene Anwendungen Vorschlagswerte gepflegt werden müssen, um sicherzustellen, dass die PFCG-Rollenpflege regelkonform abläuft, und um die Pflege für Sie zu erleichtern. Bisher mussten die Werte von kundeneigenen Anwendungen entweder manuell in der PFCG-Rolle nachgepflegt werden, oder die Vorschlagswertepflege in der Transaktion SU24 wurde manuell durchgeführt.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Schlechter ist schon der Fall, dass jemand zuviele Berechtigungen hat, also der Art: „User xy soll diese Berechtigung nicht mehr haben“ (FALL2).
Beim Abmischen von Rollen – sei es nach Upgradenacharbeiten oder bei Rollenmenüänderungen – werden Änderungen an den Berechtigungswerten vorgenommen.